Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > IronPort erweitert Security-Appliances um Web-Exploit-Filter

Exploits auf Web-Sites erkennen

IronPort erweitert Security-Appliances um Web-Exploit-Filter

25. September 2008, 12:14 Uhr | Werner Veith
Mit dem Web-Security-Manager der S-Serie-Appliances von Iron Port weist der Administrator verschiedenen Gruppen unterschiedliche Regelwerke zu.

In ihre Web-Security-Appliances der »S-Serie« integriert Iron Port die eigene Web-Reputation-Technologie. Reine URL-Filter reichen nicht mehr aus, um Bedrohungen durch infizierte Web-Sites abzuwehren.

URL-Filter sind sinnvoll, um den Zugriff auf bestimmte Kategorien von Web-Site zu verhindern beziehungsweise zu erlauben. Da jedoch etwa zunehmend auch beliebte Web-Sites von Hackern missbraucht werden, reichen URL-Filter nicht aus. Deswegen hat IronPort, eine Geschäftseinheit von Cisco, in ihre Web-Security-Appliance »S-Serie« einen Exploit-Filter eingebaut. Dieser greift auf Iron Ports Web-Reputation-Filter-System zurück. Der Online-Web-Service des Herstellers beantwortet Anfragen von Web-Browsern zu Web-Sites, ob diese infiziert sind.

Das Web-Reputation-System untersucht bei einem Web-Aufruf nicht nur den ersten Html-Request, sondern auch alle nachfolgen Datenanfragen, auch von anderen Domänen. Letzteres ist wichtig, weil Hacker den Schadcode nicht immer direkt auf einer Seite einfügen, sondern etwa nur eine URL, die auf diesen Code verweist.

Hat das System eine Infizierung oder Schwachstellen (Exploits) festgestellt, teilt es die Site in eine von drei Kategorien ein: »Exploits ausgenutzt und aktive Malware«, »Exploits ausgenutzt« und »Schwachstellen vorhanden«. Letzteres bedeutet, dass sich die Web-Site leicht hacken lässt, aber noch nicht infiziert ist. Solche beliebten Seiten beobachtet dann das Iron-Port-eigene Threat-Operations-Center.

Hat ein Hacker einen Exploit ausgenutzt, dann kann der Schadcode bereits arbeiten (aktive Malware) oder der zugehörige Command-and-Control-Server des Hackers ist noch nicht aktiv. In beiden Fällen wird die Site für den Zugriff des Anwenders geblockt.

Die S-Serie-Geräte verfügen neben dem Exploit- auch über einen URL-Filter. Danben arbeiten sie als Web-Proxy und bieten ein Traffic-Monitor auf Layer 4. Weiter gibt es Anti-Malware-System, das verschiedene Scan-Engines vereint. Schließlich entschlüsselt die Appliance Https-Verkehr, um ihn ebenfalls zu scannen. Ähnliche Systeme haben auch Blue Coat und Websense im Programm, wie Network Computing berichtete.

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
EKINOPS Deutschland GmbH

EKINOPS Deutschland GmbH
Plusnet GmbH

Plusnet GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
Softing IT Networks GmbH

Softing IT Networks GmbH
G DATA CyberDefense AG

G DATA CyberDefense AG